自動証明書管理のルーティングポリシーの設定

  • リリースバージョン: Zurich
  • 更新日 2025年08月07日
  • 所要時間:4分

    • 証明書インベントリと管理を自動化するルーティングポリシーを設定します。認証局 (CA)、環境、およびその他の機能に基づいてポリシーを作成することで、効率的な TLS 証明書管理が保証されます。

    始める前に

    必要なロール:pki_admin または admin

    このタスクについて

    ルーティングポリシーは、証明書操作のために連絡する必要がある CA を決定します。これには、CA、CA URL、認証情報、承認グループ、アサイン先グループ、および CSR 属性が含まれます。ルーティングポリシーは、特定の CA の証明書を要求するためのフローをトリガーします。

    注:
    まだ進行中の同じドメイン名を持つ別の証明書タスクがある場合、証明書要求は重複と見なされます。証明書要求の重複は許可されていません。ただし、[重複要求を許可 (Allow duplicate requests)] チェックボックスをオンにすると、この設定を上書きできます。承認は、現時点では履行者承認エクスペリエンスでのみサポートされています。

    手順

    1. 移動先 すべて > 証明書管理 > 証明書ルーティングポリシー.
    2. [新規] を選択して、フォームの必須フィールドに入力します。
      新しい証明書と証明書更新の要求は自動化できますが、多くの PKI チームは履行前に人手によって検証することを希望します。その場合は、[承認が必要] チェックボックスをオンにします。
      注:
      [組織]、[組織単位]、[市区町村 (Locality)]、[州 (State)]、[国]、および [メール] は、カンマ区切り値を受け入れます。 * は任意と見なされます。RegEx では、サブジェクトの共通名とサブジェクトの代替名がサポートされています。RegEx 形式には次の制限があります。
      • カンマを含めることはできません。
      • スラッシュ (/) で開始および終了することはできず、* はいずれかと一致します。
      • ルーティングポリシーフォームのフィールドと値の詳細については、「 」を参照してください。
    3. 次の CSR 属性は、ルーティングポリシー [sn_disco_certmgmt_routing_policy] テーブルのエントリと照合されます。
      • 組織
      • 組織単位
      • 市区町村
      • 状況
      • メール
      • 環境
      • 証明書の目的 (内部/外部)
      • サブジェクトの共通名
      • サブジェクトの代替名
      注:
      Entrust CA Gateway には、[認証局の識別子]、[証明書プロファイル]、および [証明書形式] のフィールドもあります。Microsoft CA の場合は、[認証局]、[CA テンプレート名]、[CA ホスト IP]、[認証情報]、および [CSR 属性 (CSR attributes)] のフィールドも使用します。DigiCert の場合、ルーティングポリシーには、自動化されたプロセスと失効フローを処理するための [認証局 API URL] フィールドも必要です。
    4. 次のオプションが発生する可能性があります。
      オプション説明
      単一のルーティングポリシーが一致する場合 次の条件を確認します。
      • ルーティングポリシーテーブル、ドメイン名、または * で指定された RegEx パターンを使用して、サブジェクトの共通名を検証します。
      • 証明書要求の有効期間がルーティングポリシーテーブルの最大有効期間を超えていないことを確認します。
      • ルーティングポリシーテーブルで重複証明書要求の許可フラグを確認します。
      複数のルーティングポリシーが適格である場合 タスクはデフォルトの承認者グループにアサインされます。
      ルーティングポリシーが見つからない場合 タスクはデフォルトの承認者グループにアサインされます。
      単一のポリシーが一致し、[承認が必要] フラグが true の場合 タスクは、ルーティングポリシーで定義されたタスク承認グループにアサインされます。

    タスクの結果

    承認グループはルーティングポリシーにアサインされ、pki_approver ロールとそのグループで利用可能なアクティブなグループメンバーの少なくとも 1 人が含まれます。ルーティングポリシーで手動承認が必要な場合は、承認グループでの承認が要求されます。

    次のタスク

    次のナレッジベース記事では、必要な認証情報を作成し、さまざまな認証局のルーティングポリシーを設定するプロセスについて説明します。

    Digicert については、「 [Digicert] TLS 証明書の自動証明書管理を構成する [KB2166364]」を参照してください。

    Entrust については、「 [Entrust] TLS 証明書の自動証明書管理を構成する [KB2173533]」を参照してください。

    Let's Encrypt については、「 [Let's Encrypt - ACME] TLS 証明書の自動証明書管理を構成する [KB2197962]」を参照してください。

    Microsoft CA については、「 [Microsoft CA] TLS 証明書の自動証明書管理を構成する [KB2198094] 」を参照してください。